Hallo,
heute karm dieser Trojaner bei mir wieder hoch. Er liegt wohl im System32!
C:\WINDOWS\system32\appconf32.exe
Zitat:
Die Datei 'C:\WINDOWS\system32\appconf32.exe'
enthielt einen Virus oder unerwünschtes Programm 'TR/Banker.MultiBanker.VQ' [trojan].
Durchgeführte Aktion(en):
Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4f9e4385.qua' verschoben!
|
Ich weiß nicht ob dieser Trojaner von Websiten kommt - außerdem stürzt mein Mozilla Firefox ständig ab wenn ich auf Absenden, Zurück e.t.c. klicke. Liegt das auch an dem Trojaner?
AntiVir hat vorhin wieder eine Meldung gegeben das der Trojaner wieder drauf sei - ich klickte auf entfernen und habe noch mal das system32 durchlaufen lassen ohne Fund oder verdächtige Dateien.
Die Meldung von heute:
Zitat:
Avira AntiVir Personal
Erstellungsdatum der Reportdatei: Mittwoch, 21. Juli 2010 14:04
Es wird nach 2365352 Virenstämmen gesucht.
Das Programm läuft als uneingeschränkte Vollversion.
Online-Dienste stehen zur Verfügung.
Lizenznehmer : Avira AntiVir Personal - FREE Antivirus
Seriennummer : 0000149996-ADJIE-0000001
Plattform : Windows XP
Windowsversion : (Service Pack 3) [5.1.2600]
Boot Modus : Normal gebootet
Benutzername : SYSTEM
Computername : HOME-9C7403BC8B
Versionsinformationen:
BUILD.DAT : 10.0.0.567 32097 Bytes 19.04.2010 15:50:00
AVSCAN.EXE : 10.0.3.0 433832 Bytes 28.04.2010 11:32:51
AVSCAN.DLL : 10.0.3.0 56168 Bytes 28.04.2010 11:32:51
LUKE.DLL : 10.0.2.3 104296 Bytes 07.03.2010 16:32:59
LUKERES.DLL : 10.0.0.0 13672 Bytes 14.01.2010 09:59:47
VBASE000.VDF : 7.10.0.0 19875328 Bytes 06.11.2009 13:19:13
VBASE001.VDF : 7.10.1.0 1372672 Bytes 19.11.2009 13:19:16
VBASE002.VDF : 7.10.3.1 3143680 Bytes 20.01.2010 16:06:28
VBASE003.VDF : 7.10.3.75 996864 Bytes 26.01.2010 16:30:42
VBASE004.VDF : 7.10.4.203 1579008 Bytes 05.03.2010 19:36:41
VBASE005.VDF : 7.10.6.82 2494464 Bytes 15.04.2010 11:32:50
VBASE006.VDF : 7.10.7.218 2294784 Bytes 02.06.2010 14:14:42
VBASE007.VDF : 7.10.7.219 2048 Bytes 02.06.2010 14:14:42
VBASE008.VDF : 7.10.7.220 2048 Bytes 02.06.2010 14:14:42
VBASE009.VDF : 7.10.7.221 2048 Bytes 02.06.2010 14:14:42
VBASE010.VDF : 7.10.7.222 2048 Bytes 02.06.2010 14:14:42
VBASE011.VDF : 7.10.7.223 2048 Bytes 02.06.2010 14:14:42
VBASE012.VDF : 7.10.7.224 2048 Bytes 02.06.2010 14:14:43
VBASE013.VDF : 7.10.8.37 270336 Bytes 10.06.2010 14:14:43
VBASE014.VDF : 7.10.8.69 138752 Bytes 14.06.2010 08:52:33
VBASE015.VDF : 7.10.8.102 130560 Bytes 16.06.2010 15:03:57
VBASE016.VDF : 7.10.8.135 152064 Bytes 21.06.2010 11:19:30
VBASE017.VDF : 7.10.8.163 432128 Bytes 23.06.2010 12:53:08
VBASE018.VDF : 7.10.8.194 133632 Bytes 27.06.2010 07:39:57
VBASE019.VDF : 7.10.8.220 134656 Bytes 29.06.2010 07:39:57
VBASE020.VDF : 7.10.8.252 171520 Bytes 04.07.2010 07:39:58
VBASE021.VDF : 7.10.9.19 131072 Bytes 06.07.2010 07:39:58
VBASE022.VDF : 7.10.9.36 297472 Bytes 07.07.2010 07:39:59
VBASE023.VDF : 7.10.9.60 150016 Bytes 11.07.2010 07:40:00
VBASE024.VDF : 7.10.9.79 113152 Bytes 13.07.2010 14:37:20
VBASE025.VDF : 7.10.9.99 158720 Bytes 16.07.2010 09:35:49
VBASE026.VDF : 7.10.9.112 155136 Bytes 19.07.2010 19:43:55
VBASE027.VDF : 7.10.9.113 2048 Bytes 19.07.2010 19:43:55
VBASE028.VDF : 7.10.9.114 2048 Bytes 19.07.2010 19:43:56
VBASE029.VDF : 7.10.9.115 2048 Bytes 19.07.2010 19:43:56
VBASE030.VDF : 7.10.9.116 2048 Bytes 19.07.2010 19:43:56
VBASE031.VDF : 7.10.9.121 59904 Bytes 19.07.2010 19:43:56
Engineversion : 8.2.4.12
AEVDF.DLL : 8.1.2.0 106868 Bytes 28.04.2010 11:32:51
AESCRIPT.DLL : 8.1.3.40 1360250 Bytes 18.07.2010 09:35:54
AESCN.DLL : 8.1.6.1 127347 Bytes 13.05.2010 10:01:36
AESBX.DLL : 8.1.3.1 254324 Bytes 28.04.2010 11:32:51
AERDL.DLL : 8.1.4.6 541043 Bytes 28.04.2010 11:32:51
AEPACK.DLL : 8.2.2.6 430452 Bytes 18.07.2010 09:35:52
AEOFFICE.DLL : 8.1.1.6 201081 Bytes 14.07.2010 07:40:02
AEHEUR.DLL : 8.1.1.38 2724214 Bytes 24.06.2010 12:53:15
AEHELP.DLL : 8.1.11.6 242038 Bytes 24.06.2010 12:53:10
AEGEN.DLL : 8.1.3.14 381299 Bytes 18.07.2010 09:35:52
AEEMU.DLL : 8.1.2.0 393588 Bytes 28.04.2010 11:32:51
AECORE.DLL : 8.1.15.4 192886 Bytes 18.07.2010 09:35:51
AEBB.DLL : 8.1.1.0 53618 Bytes 28.04.2010 11:32:51
AVWINLL.DLL : 10.0.0.0 19304 Bytes 14.01.2010 09:59:10
AVPREF.DLL : 10.0.0.0 44904 Bytes 14.01.2010 09:59:07
AVREP.DLL : 10.0.0.8 62209 Bytes 18.02.2010 14:47:40
AVREG.DLL : 10.0.3.0 53096 Bytes 28.04.2010 11:32:51
AVSCPLR.DLL : 10.0.3.0 83816 Bytes 28.04.2010 11:32:51
AVARKT.DLL : 10.0.0.14 227176 Bytes 28.04.2010 11:32:51
AVEVTLOG.DLL : 10.0.0.8 203112 Bytes 26.01.2010 07:53:25
SQLITE3.DLL : 3.6.19.0 355688 Bytes 28.01.2010 10:57:53
AVSMTP.DLL : 10.0.0.17 63848 Bytes 16.03.2010 13:38:54
NETNT.DLL : 10.0.0.0 11624 Bytes 19.02.2010 12:40:55
RCIMAGE.DLL : 10.0.0.26 2550120 Bytes 28.01.2010 11:10:08
RCTEXT.DLL : 10.0.53.0 98152 Bytes 28.04.2010 11:32:50
Konfiguration für den aktuellen Suchlauf:
Job Name..............................: avguard_async_scan
Konfigurationsdatei...................: C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Avira\AntiVir Desktop\TEMP\AVGUARD_4c86107f\guard_slideup.avp
Protokollierung.......................: niedrig
Primäre Aktion........................: reparieren
Sekundäre Aktion......................: quarantäne
Durchsuche Masterbootsektoren.........: ein
Durchsuche Bootsektoren...............: aus
Durchsuche aktive Programme...........: ein
Durchsuche Registrierung..............: aus
Suche nach Rootkits...................: aus
Integritätsprüfung von Systemdateien..: aus
Datei Suchmodus.......................: Alle Dateien
Durchsuche Archive....................: ein
Rekursionstiefe einschränken..........: 20
Archiv Smart Extensions...............: ein
Makrovirenheuristik...................: ein
Dateiheuristik........................: hoch
Abweichende Gefahrenkategorien........: +APPL,+GAME,+JOKE,+PCK,+SPR,
Beginn des Suchlaufs: Mittwoch, 21. Juli 2010 14:04
Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'wlcomm.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'alg.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'wmiprvse.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'TUProgSt.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avshadow.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'jqs.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avguard.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'PhotoshopElementsFileAgent.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ctfmon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'msmsgs.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'speedfan.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'msnmsgr.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'vsnpstd3.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'tsnpstd3.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'sched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'spoolsv.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'Explorer.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsass.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'services.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'winlogon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'smss.exe' - '1' Modul(e) wurden durchsucht
Der Suchlauf über die ausgewählten Dateien wird begonnen:
Beginne mit der Suche in 'C:\WINDOWS\system32\appconf32.exe'
C:\WINDOWS\system32\appconf32.exe
[FUND] Ist das Trojanische Pferd TR/Banker.MultiBanker.VQ
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4f9e4385.qua' verschoben!
Ende des Suchlaufs: Mittwoch, 21. Juli 2010 14:05
Benötigte Zeit: 00:15 Minute(n)
Der Suchlauf wurde vollständig durchgeführt.
0 Verzeichnisse wurden überprüft
32 Dateien wurden geprüft
1 Viren bzw. unerwünschte Programme wurden gefunden
0 Dateien wurden als verdächtig eingestuft
0 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
1 Dateien wurden in die Quarantäne verschoben
0 Dateien wurden umbenannt
0 Dateien konnten nicht durchsucht werden
31 Dateien ohne Befall
0 Archive wurden durchsucht
0 Warnungen
1 Hinweise
Die Suchergebnisse werden an den Guard übermittelt.
|
Aufgefallen ist mir außerdem das er unterschiedliche Endungen hatte (seidt den vergangenen Wochen)
Zitat:
Beginne mit der Suche in 'C:\WINDOWS\system32\appconf32.exe'
C:\WINDOWS\system32\appconf32.exe
[FUND] Ist das Trojanische Pferd TR/Banker.MultiBanker.VQ
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4f9e4385.qua' verschoben!
Beginne mit der Suche in 'C:\System Volume Information\_restore{B876DCDE-DE19-4461-91FE-06B5854A2FA7}\RP172\A0021002.exe'
C:\System Volume Information\_restore{B876DCDE-DE19-4461-91FE-06B5854A2FA7}\RP172\A0021002.exe
[FUND] Ist das Trojanische Pferd TR/Banker.MultiBanker.UV
Beginne mit der Desinfektion:
C:\System Volume Information\_restore{B876DCDE-DE19-4461-91FE-06B5854A2FA7}\RP172\A0021002.exe
[FUND] Ist das Trojanische Pferd TR/Banker.MultiBanker.UV
[HINWEIS] Die Datei wurde gelöscht.
|
Uf, VQ gab es ebendfalls!
Paar Fragen noch:
Soll ich meine Passwörter jetzt ändern?
Wie bekomme ich den jetzt wieder weg?
Oder ist er weg und kommt von Websiten wieder?
Soll ich noch etwas durchlaufen lassen?
Was für eine Art Virus ist das?
Soll ich das Internet lieber erst einmal nicht benutzen?
Ist der Virus sehr gefährlich?
AntiVir findet den Virus in ein paar Tagen (wahrscheinlich) wieder. Nur frage ich mich wenn AntiVir den Virus löscht und danach auch bei der Prüfung im system32 und bei Windows nichts findet wie der Virus wieder auf dem Computer kommt? Von einer Website (vll.) aber das bringt mir dann auch nix, wenn ich nicht weiß welche. Wenn ich alles neu mache könnte ich mich mit den Virus ja wieder infizieren.
Ebend habe ich noch ein Spyware Programm durchlaufen. Verdächtig war ein Cookie den ich gleich gelöscht habe.
Hoffe auf schnelle Antworten & Hilfe !!
Lg, Lara.